TAO

美國國安局下設的這個黑客部門名為“定製入口行動辦公室”(TAO，簡稱“行動辦公室”)。用國安局的話説，這個部門的任務就是“獲得無法獲得的東西”。

“行動辦公室”1997年設立。當時，互聯網處於萌芽階段，全球只有不到2%的人口能接觸互聯網。設立之初，“行動辦公室”就與國安局其他部門完全隔離，而且任務明確：夜以繼日地找辦法入侵全球通訊網絡。

《明鏡》週刊報道，一份有關職責描述的內部文件明確將網絡攻擊行為列入“行動辦公室”的任務範疇。換句話説，美國政府授權這些人員去“黑”全世界的通訊網絡。

秘密文件顯示，2010年，“行動辦公室”在全球範圍內實施了279次網絡入侵行動。

美國國家安全局（NSA）打造了體系化的網絡攻擊平台和制式化的攻擊裝備庫，美國國家安全局下的特別行動辦公室（TAO）是這些攻擊裝備的主要使用者。 ^[1] 

高級網絡技術部門(ANT)、數據網絡技術部門(DNT) ^[1] 

為組建最優秀團隊，美國國安局在招募人才方面不拘一格，甚至主動邀請在網絡世界呼風喚雨的天才黑客加盟。

國安局局長基思·亞歷山大近年來多次出現在美國的大型黑客大會上，有時着軍隊制服，有時則穿T恤和牛仔褲，以期通過形象認同博取潛在黑客僱員的好感。

久而久之，不少黑客搖身一變，成為政府公務員。而在國安局內部，“行動辦公室”是人員平均年齡最低的部門。在一些跨部門的情報協作行動中，他們往往成為破解網絡通訊“密碼”的關鍵。

《明鏡》週刊報道，如果有必要，美國聯邦調查局甚至可能出動自有專機將“行動辦公室”技術人員及時送至目標地點，實地獲取情報。在最短半小時內，這些人員可以完成任務，然後隨專機“消失”而不會在事後被查尋到行蹤。

包括“被動”和“主動”方式在內，“行動辦公室”所滲透的電腦遍及全球。美國政府公開的本年度情報財政預算顯示，今年年底前，美國國安局預計在全球8 .5萬台目標計算機中植入間諜軟件。這些行動大部分由“行動辦公室”通過互聯網實現。

除了針對具體目標外，國安局的監視對象還包括通訊信息交流的“主管道”。

《明鏡》週刊援引一份標註為“絕密”和“僅限本國人員”的秘密文件報道，“行動辦公室”已經成功監視到代號為“Sea-M e-W e4”的大型海底光纜系統。這一系統連接歐洲與北非、歐洲與海灣國家，途經印度和巴基斯坦，蔓延至馬來西亞和泰國。

這份標註時間為2013年2月13日的文件稱，“行動辦公室”成功蒐集到“Sea-M e-W e4”的網絡管理信息。經過一系列“網站化妝行動”，技術人員獲得了海底光纜控股集團的管理網站接入方式，蒐集到顯示光纜系統佈局等方面的更進一步信息。

2022年9月5日，據央視新聞發佈《360公司：關於西北工業大學發現美國NSA網絡攻擊調查報告（之一）》消息：2022年6月22日，西北工業大學發佈《公開聲明》稱，該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發佈《警情通報》，證實在西北工業大學的信息網絡中發現了多款源於境外的木馬程序樣本，西安警方已對此正式立案調查。

中國國家計算機病毒應急處理中心和360公司第一時間成立技術團隊開展調查工作，全程參與此案技術分析。技術團隊先後從多個信息系統和上網終端中捕獲到了木馬程序樣本，綜合使用國內現有數據資源和分析手段，並得到歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自美國國家安全局（NSA）的“特定入侵行動辦公室”（Office of Tailored Access Operation，後文簡稱TAO）。

該系列研究報告將公佈美國國家安全局（NSA）“信號特定入侵行動辦公室”（TAO）對西北工業大學發起的上千次網絡攻擊活動中，某些特定攻擊活動的重要細節，為全球各國有效防範和發現TAO的後續網絡攻擊行為提供可以借鑑的案例。

分析發現，美國NSA的“特定入侵行動辦公室”（TAO）對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了相關網絡設備（網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等），疑似竊取了高價值數據。與此同時，美國NSA還利用其控制的網絡攻擊武器平台、“零日漏洞”（0day）和網絡設備，長期對中國的手機用户進行無差別的語音監聽，非法竊取手機用户的短信內容，並對其進行無線定位。經過複雜的技術分析與溯源，技術團隊現已澄清NSA攻擊活動中使用的網絡資源、專用武器裝備及具體手法，還原了攻擊過程和被竊取的文件，掌握了美國NSA“特定入侵行動辦公室”（TAO）對中國信息網絡實施網絡攻擊和數據竊密的證據鏈。

經技術分析和網上溯源調查發現，此次網絡攻擊行動是美國國家安全局（NSA）信息情報部（代號S）數據偵察局（代號S3）下屬TAO（代號S32）部門。該部門成立於1998年，其力量部署主要依託美國國家安全局（NSA）在美國和歐洲的各密碼中心。

目前已被公佈的六個密碼中心分別是：

1 國安局馬里蘭州的米德堡總部；

2 瓦湖島的國安局夏威夷密碼中心（NSAH）；

3 戈登堡的國安局喬治亞密碼中心（NSAG）；

4 聖安東尼奧的國安局德克薩斯密碼中心（NSAT）；

5 丹佛馬克利空軍基地的國安局科羅拉羅密碼中心（NSAC）；

6 德國達姆施塔特美軍基地的國安局歐洲密碼中心（NSAE）。

TAO是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施單位，由2000多名軍人和文職人員組成，下設10個單位：

主要負責操作武器平台和工具進入並控制目標系統或網絡。

負責研究相關硬件技術，為TAO網絡攻擊行動提供硬件相關技術和武器裝備支持。

負責研發複雜的計算機軟件工具，為TAO操作人員執行網絡攻擊任務提供支撐。

負責研究電信相關技術，為TAO操作人員隱蔽滲透電信網絡提供支撐。

負責開發與建立網絡基礎設施和安全監控平台，用於構建攻擊行動網絡環境與匿名網絡。

負責通過供應鏈，對擬送達目標的產品進行後門安裝。

接收各相關單位的任務，確定偵察目標，分析評估情報價值。

負責研發接觸式竊密裝置，並與美國中央情報局和聯邦調查局人員合作，通過人力接觸方式將竊密軟件或裝置安裝在目標的計算機和電信系統中。

負責總體規劃與項目管理。

負責與133個網絡作戰小隊聯絡。

此案在美國國家安全局（NSA）內部攻擊行動代號為“阻擊XXXX”（shotXXXX）。該行動由TAO負責人直接指揮，由MIT（S325）負責構建偵察環境、租用攻擊資源；由R&T（S327）負責確定攻擊行動戰略和情報評估；由ANT（S322）、DNT（S323）、TNT（S324）負責提供技術支撐；由ROC（S321）負責組織開展攻擊偵察行動。由此可見，直接參與指揮與行動的，主要包括TAO負責人，S321和S325單位。

NSA竊密期間的TAO負責人是羅伯特·喬伊斯（Robert Edward Joyce）。此人1967年9月13日出生，曾就讀於漢尼拔高中，1989年畢業於克拉克森大學，獲學士學位，1993年畢業於約翰·霍普金斯大學，獲碩士學位。1989年進入美國國家安全局工作。曾經擔任過TAO副主任，2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月，擔任美國白宮國務安全顧問，後回到NSA擔任美國國家安全局局長網絡安全戰略高級顧問，現擔任NSA網絡安全局主管。

美國國家安全局TAO部門的S325單位，通過層層掩護，構建了由49台跳板機和5台代理服務器組成的匿名網絡，購買專用網絡資源，架設攻擊平台。S321單位運用40餘種不同的NSA專屬網絡攻擊武器，持續對我國開展攻擊竊密，竊取了關鍵網絡設備配置、網管數據、運維數據等核心技術數據，竊密活動持續時間長，覆蓋範圍廣。技術分析中還發現，TAO已於此次攻擊活動開始前，在美國多家大型知名互聯網企業的配合下，掌握了中國大量通信網絡設備的管理權限，為NSA持續侵入中國國內的重要信息網絡大開方便之門。

經溯源分析，技術團隊現已全部還原了NSA的攻擊竊密過程，澄清其在西北工業大學內部滲透的攻擊鏈路1100餘條、操作的指令序列90餘個，多份遭竊取的網絡設備配置文件，嗅探的網絡通信數據及口令、其它類型的日誌和密鑰文件，基本還原了每一次攻擊的主要細節。掌握並固定了多條相關證據鏈，涉及在美國國內對中國直接發起網絡攻擊的人員13名，以及NSA通過掩護公司為構建網絡攻擊環境而與美國電信運營商簽訂的合同60餘份，電子文件170餘份。

經技術團隊溯源分析發現，美國國家安全局TAO部門對西北工業大學的網絡攻擊行動先後使用了49台跳板機，這些跳板機均經過精心挑選，所有IP均歸屬於非“五眼聯盟”國家，而且大部分選擇了中國周邊國家（如日本、韓國等）的IP，約佔70%。

TAO利用其掌握的針對SunOS操作系統的兩個“零日漏洞”利用工具（已提取樣本），工具名稱分別為EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的服務器為攻擊目標；攻擊成功後，安裝NOPEN（NSA命名，已提取樣本）後門，控制了大批跳板機。

根據溯源分析，本次竊密行動共選用了其中的49台跳板機，這些跳板機僅使用了中轉指令，將上一級的跳板指令轉發到目標系統，從而掩蓋美國國家安全局發起網絡攻擊的真實IP。

目前已經至少掌握TAO攻擊實施者從其接入環境（美國國內電信運營商）控制跳板機的四個IP：

209.59.36.*

69.165.54.*

207.195.240.*

209.118.143.*

TAO基礎設施技術處（MIT）人員通過將匿名購買的域名和SSL證書部署在位於美國本土的中間人攻擊平台“酸狐狸”（FOXACID，NSA命名）上，對中國境內的大量網絡目標開展攻擊。特別值得關注的是，NSA利用上述域名和證書部署的平台，對西北工業大學等中國信息網絡展開了多輪持續性的攻擊、竊密行動。

美國國家安全局NSA為了保護其身份安全，使用了美國Register公司的匿名保護服務，相關域名和證書無明確指向，無關聯人員。

TAO為了掩蓋其攻擊來源，並保護工具的安全，對需要長期駐留互聯網的攻擊平台，通過掩護公司向服務商購買服務。

針對西北工業大學攻擊平台所使用的網絡資源共涉及5台代理服務器，NSA通過兩家掩護公司向美國泰瑞馬克（Terremark）公司購買了埃及、荷蘭和哥倫比亞等地的IP，並租用一批服務器。

這兩家公司分別為傑克·史密斯諮詢公司（Jackson Smith Consultants）、穆勒多元系統公司（Mueller Diversified Systems）。

技術分析發現，TAO先後使用了41種NSA的專用網絡攻擊武器裝備，通過分佈於日本、韓國、瑞典、波蘭、烏克蘭等17個國家的49台跳板機和5台代理服務器，對西北工業大學發起了攻擊竊密行動上千次，竊取了一批網絡數據。

美國國家安全局TAO的網絡攻擊武器裝備針對性強，得到了美國互聯網巨頭的鼎力支持。同一款裝備會根據目標環境進行靈活配置，在這中使用的41款裝備中，僅後門工具“狡詐異端犯”（NSA命名）在對西北工業大學的網絡攻擊中就有14款不同版本。NSA所使用工具類別主要分為四大類，分別是：

TAO依託此類武器對西北工業大學的邊界網絡設備、網關服務器、辦公內網主機等實施攻擊突破，同時也用來攻擊控制境外跳板機以構建匿名網絡。此類武器共有3種：

1.“剃鬚刀”

此武器可針對開放了指定RPC服務的X86和SPARC架構的Solaris系統實施遠程溢出攻擊，攻擊時可自動探知目標系統服務開放情況並智能化選擇合適版本的漏洞利用代碼，直接獲取對目標主機的完整控制權。

此武器用於對日本、韓國等國家跳板機的攻擊，所控制跳板機被用於對西北工業大學的網絡攻擊。

2.“孤島”

此武器同樣可針對開放了制定RPC服務的Solaris系統實施遠程溢出攻擊，直接獲取對目標主機的完整控制權。

與“剃鬚刀”工具不同之處在於此工具不具備自主探測目標服務開放情況的能力，需由使用者手動選擇欲打擊的目標服務。

NSA使用此武器攻擊控制了西北工業大學的邊界服務器。

3.“酸狐狸”武器平台

此武器平台部署在哥倫比亞，可結合“二次約會”中間人攻擊武器使用，可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平台上的主流瀏覽器開展遠程溢出攻擊，獲取目標系統的控制權。

TAO主要使用該武器平台對西北工業大學辦公內網主機開展突破攻擊。

TAO依託此類武器對西北工業大學網絡進行隱蔽持久控制，TAO工作人員可通過加密通道發送控制指令操作此類武器實施對西北工業大學網絡的滲透、控制、竊密等行為。此類武器共有5種：

1.“二次約會”

此武器長期駐留在網關服務器、邊界路由器等網絡邊界設備及服務器上，可針對海量數據流量進行精準過濾與自動化劫持，實現中間人攻擊功能。

TAO在西北工業大學邊界設備上安置該武器，劫持流經該設備的流量引導至“酸狐狸”平台實施漏洞攻擊。

2.“NOPEN”木馬

此武器是一種支持多種操作系統和不同體系架構的控守型木馬，可通過加密隧道接收指令執行文件管理、進程管理、系統命令執行等多種操作，並且本身具備權限提升和持久化能力。

TAO主要使用該武器對西北工業大學網絡內部的核心業務服務器和關鍵網絡設備實施持久化控制。

3.“怒火噴射”

此武器是一款基於Windows系統的支持多種操作系統和不同體系架構的控守型木馬，可根據目標系統環境定製化生成不同類型的木馬服務端，服務端本身具備極強的抗分析、反調試能力。

TAO主要使用該武器配合“酸狐狸”平台對西北工業大學辦公網內部的個人主機實施持久化控制。

4.“狡詐異端犯”

此武器是一款輕量級的後門植入工具，運行後即自刪除，具備提權功能，持久駐留於目標設備上並可隨系統啓動。

TAO主要使用該武器實現持久駐留，以便在合適時機建立加密管道上傳NOPEN木馬，保障對西北工業大學信息網絡的長期控制。

5.“堅忍外科醫生”

此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型操作系統的後門，該武器可持久化運行於目標設備上，根據指令對目標設備上的指定文件、目錄、進程等進行隱藏。

TAO主要使用該武器隱藏NOPEN木馬的文件和進程，避免其被監控發現。

TAO在對西北工業大學的網絡攻擊中共使用該武器的12個不同版本。

TAO依託此類武器嗅探西北工業大學工作人員運維網絡時使用的賬號口令、生成的操作記錄，竊取西北工業大學網絡內部的敏感信息和運維數據等。此類武器共有兩種：

1.“飲茶”

此武器可長期駐留在32位或64位的Solaris系統中，通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。

TAO主要使用該武器嗅探西北工業大學業務人員實施運維工作時產生的賬號口令、操作記錄、日誌文件等，壓縮加密存儲後供NOPEN木馬下載。

2.“敵後行動”系列武器

此係列武器是專門針對運營商特定業務系統使用的工具，根據被控業務設備的不同類型，“敵後行動”會與不同的解析工具配合使用。

在對西北工業大學運維管道的攻擊中共使用了“魔法學校”、“小丑食物”和“詛咒之火”等3類針對運營商的攻擊竊密工具。

TAO依託此類武器消除其在西北工業大學網絡內部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時為上述三類武器提供保護。

現已發現的此類武器共有1種：

1.“吐司麪包”

此武器可用於查看、修改utmp、wtmp、lastlog等日誌文件以清除操作痕跡。

TAO主要使用該武器清除、替換被控西北工業大學上網設備上的各類日誌文件，隱藏其惡意行為。

TAO對西北工業大學的網絡攻擊中共使用了3款不同版本的“吐司麪包”。 ^[2]